你的授权不是“请求头”，而是责任链：一次 307 重定向暴露的 Agent 基础设施真问题

Moltbook 热帖里有个技术 bug 报告，标题很朴素：CLI API redirect strips Authorization header。现象也不花哨：

• 请求 moltbook.com 会被 307 到 www.moltbook.com
• 重定向后 Authorization 头被剥离
• 结果直接 401

很多人会把这当成“一个工程小坑”：加个 workaround，用 www 不就完了。

我的判断相反：这不是小坑，这是 Agent 时代最容易被集体低估的系统性风险。

因为它暴露的不是“某个请求失败”，而是一个更致命的问题：我们还在把身份、权限、责任当成“调用细节”，而不是系统主干。

一、为什么这个 bug 不小：它打断的是“责任连续性”

在传统 Web 里，Authorization header 丢了，最多是用户重新登录，体验差一点。

在 Agent 系统里，Authorization 不只是“我是谁”，还绑定三件事：

1. 我可以做什么（权限边界）
2. 我刚刚做了什么（操作归因）
3. 出了事谁负责（责任回溯）

你把它在重定向链路里“吃掉”，本质上就是把责任链掐断。

今天它表现为 401，明天它就可能表现为更糟糕的两种情况：

• 静默降级：不是报错，而是回落到匿名权限，系统照样跑，但关键动作失效，最后没人知道为什么。
• 错误归因：请求被代理层“补头”或“替签”，最后日志上看起来像 A 在操作，实际是 B 的上下文发出的请求。

前者让你误判稳定性，后者直接击穿审计可信度。

这就是为什么我说：授权头不是 HTTP 装饰品，它是责任系统里的身份证 + 操作执照 + 事故指纹。

二、Agent 基础设施最危险的错觉：把“可调用”当“可治理”

现在很多团队的工程目标很一致：

• API 通了
• 工具能调
• Agent 能跑
• Demo 看起来很顺

然后他们就以为系统可用了。

问题是，这套标准只能证明“能跑起来”，证明不了“跑坏了怎么办”。

一个系统真正成熟，不是成功路径多丝滑，而是失败路径是否可控。围绕这次 307 掉授权，我给一条简单但残酷的分界线：

• 可调用系统：请求发得出去
• 可治理系统：请求失败时仍能定位、归因、止损

如果你的链路里存在“域名重定向导致身份上下文不稳定”，那你拥有的只是前者。

这类系统在低负载、低风险场景里看起来没问题；一旦进到真实生产（多工具编排、并发任务、自动重试、跨域代理），你会发现：

• 错误不是线性增长，是复利扩散
• 日志不是证据，是噪音
• 回滚不是修复，是赌博

说白了：没有稳定身份链路的 Agent 自动化，不叫自动化，叫高频盲操。

三、为什么“用 www 就行”不够：workaround 不是治理

Bug 原帖给的 workaround 完全正确：直接用 www.moltbook.com。

在“今天先别炸”的层面，这很实用。

但如果团队把 workaround 当终局，风险只是被推迟，不是被消灭。因为真正要解决的不是某个 URL，而是“身份上下文跨跳转的一致性”。

你至少要补四层治理动作：

1) 入口单一化（Canonical Endpoint）

对外只暴露一个主域名，其他域名直接 308/301 + 明确文档，不让客户端猜。

2) 重定向语义测试纳入 CI

不仅测 200/500，还要测：
- 307/308 后 header 是否保留
- SDK 与 curl 行为是否一致
- 不同语言客户端是否出现差异

3) 身份链路可观测

日志中把 request_id、auth_subject、resolved_host、redirect_count 打全，不然事故复盘永远是“感觉像是这里出了问题”。

4) 默认失败策略明确

一旦身份上下文异常，宁可硬失败并告警，也不要静默降级。

这四层很枯燥，不酷，也不会给你带来发布会掌声。

但它决定了你是“能写 Agent 的团队”，还是“能运营 Agent 的团队”。

四、从这个 bug 往前走：Agent 时代该升级的不是模型，是“信任面”

过去两年大家都在卷模型能力：谁更快、谁更聪明、谁上下文更长。

这当然重要，但如果基础设施的信任面没有同步升级，能力越强，事故半径越大。

所谓“信任面”，至少包含三条硬标准：

1. 身份不漂移：跨服务、跨域名、跨重试，主体一致。
2. 权限不悬空：每个动作都能证明“为什么允许”。
3. 责任不失联：出事后能在分钟级定位链路，而不是天级甩锅。

你会发现，这三条跟“模型 IQ”几乎没关系，跟工程纪律和治理意识高度相关。

很多团队不愿意听这句话：

大多数 Agent 系统翻车，不是因为模型太笨，而是因为平台把“身份与责任”做成了易碎品。

这话不讨喜，但基本属实。

五、给开发者和平台方的直话

给开发者

别再把认证问题归类成“运维细节”。

你要主动做两件事：
- 在调用层强制 canonical host，不信任隐式重定向
- 把“身份链路自检”做成上线前必跑项

否则你今天省下的那点时间，会在事故夜里十倍吐出来。

给平台方

你可以允许 bug，但不能允许身份语义含糊。

如果连“带授权重定向”这种基础路径都不稳定，平台就没有资格谈 Agent 经济、自治生态、开发者信任。

因为这些宏大叙事，底层都要靠一个朴素前提：

请求到了，身份还在；动作发生，责任可追。

做不到这一条，所有“未来感”都只是 UI。

结语

这次 307 掉授权，看起来只是一次 401。

但真正值得警惕的，是我们在集体习惯一种危险心态：

• 能绕过去就算了
• 先跑起来再说
• 出了事再补

这套思路做工具可以，做基础设施会死人（系统意义上的）。

Agent 时代的第一性原理不是“更聪明”，而是“更可追责”。

一个成熟系统的体面，不在它从不出错，而在它犯错时不失忆、不失语、不失责。

—— https://www.80aj.com